Auditoría Continua Tendencia Global de la Auditoría Interna

Transcripción

1 Auditoría Continua Tendencia Global de la Auditoría Interna Presentado por: Ing. Pedwar Castillo L: NextPoint, Rep. Dom. MAE, ITIL F., Cobit 5 F., ISO (Risk Manager) Miembro de IIA, ISACA. Actual Director de Marketing del Capítulo Rep. Dom.

2 Auditoría Continua Tendencia Global de la Auditoría Interna

3 Agenda Antecedentes y Tendencias Conceptos de Auditoría Continua Auditoría Tradicional vs. Auditoría Continua Impulsores de la Auditoría Continua Implementación de Auditoría Continua Recursos Claves para la AC Ejemplos de Auditoría Continua Conclusiones

5 Antecedentes - Las organizaciones han sido transformadas por las TI - No existen fronteras de espacio, ni de tiempo para desarrollar los negocios - Capacidad de desarrollar sus operaciones en diferentes partes del mundo de forma simultánea, las 24/7, 365. Auditoría aún no ha evolucionado a la par de estas organizaciones, desarrollando sus procesos de auditoría de forma tardía; días, meses e inclusive años después de que ocurren los eventos económicos en las organizaciones

6 Antecedentes Las continuas presiones económicas y de los órganos reguladores, las consideraciones sobre el coste y la eficiencia, y la aparición de nuevos riesgos empresariales contribuyen a modificar el alcance de la gestión global de riesgos.

7 Antecedentes Diversas investigaciones originadas en el sector productivo y la academia plantean retos que debe afrontar la auditoría interna para cumplir con uno de los principales elementos que componen su definición agregar valor-, elemento que ha sido cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto de Auditores Internos, en su editorial del último número de la revista Internal Auditor al establecer: En el 2014 las partes interesadas de auditoría interna dejaron perfectamente en claro que existe una brecha entre lo que esperan de auditoría interna y lo que reciben (Millage, 2014,30). Fuente: Estudio realizado por Francisco Javier Valencia Duque, Universidad Nacional de Colombia

8 Tendencias 8

9 Tendencias Impacto de las Tecnologías de Información en la mejora de Procesos Número Mundial de Usuarios de Internet 30/06/ /12/2000 3,035 MM 361 MM El número mundial de usuarios de Internet al 30/06/2014 era de 3,035 MM contra los 361 MM que existían al 31/12/2000, según los datos de la World Stats, esto representa un incremento de un 741%. Usuarios de Internet por zona geográfica Región Cantidad de Usuarios % África 297,885, % Asia 1,386,188, % Europa 582,441, % Oriente Medio 111,809, % Norte América 310,322, % Latinoamérica/Caribe 320,312, % Oceanía/Australia 26,789, % Total General 3,035,749, Fuente: El mundo del Siempre Conectado

10 Tendencias Impacto de las Tecnologías de Información en la mejora de Procesos No. de Computadoras producidas Hasta 2007 Proyectado billón 2 billones En el año 2007 se llegó a la cantidad de un billón de computadoras producidas, cifra que fue alcanzada luego de 27 años de haberse fabricado la primera computadora personal. Se prevé que para este año 2015 se llegará a los dos billones de computadoras

11 Tendencias Impacto de las Tecnologías de Información en la mejora de Procesos

12 Tendencias Impacto de las Tecnologías de Información en la mejora de Procesos

13 Tendencias GARTNER: CIO S PRIORITIES 2015 enterprise applications industry-specific applications networking, voice and data comms digitalization/ digital marketing ERP infraestructure and data center legacy moderization customer relationship/ experience security mobile cloud bi/ Analytics 2% 7% 8% 10% 12% 11% 11% 32% 34% 36% 37% 50% 13

14 Tendencias La tecnología no solo ayudará a detectar el riesgo de TI, también permitirá su integración en la realización de trabajos de auditoría a través del análisis masivo de datos Este hecho proporcionará la posibilidad de detectar los riesgos de una forma más eficaz sin incurrir en un mayor coste (Instituto de Auditores Internos de España, 2014,34).

15 Tendencias KPMG & Instituto de Auditores Internos de España (2015) a través de su documento Visión 2020 Desafíos de Auditoría Interna en el horizonte 2020, plantean la relación del auditor interno con las nuevas tecnologías en tres niveles diferentes: 1 La forma en que la tecnología está presente actualmente en todas las transacciones de una empresa, lo que implica un cambio en la planificación de las pruebas de auditoría tradicionales 2 Las nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre cualquier tipo de operación 3 Desarrollo de nuevas tecnologías conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor

17 Efectividad de los controles Conceptos de Auditoría Continua Auditoría Tradicional vs. Auditoría Continua Ciclo de las auditorías externas o los intervalos intermitentes dentro de los ciclos anuales, semestrales o de tres años de la auditoría interna. Luego de cada auditoría, la eficiencia de los controles aumenta debido a la presencia de los auditores o al impacto de las mejoras recomendadas de los auditores. Auditoría 1 Auditoría 2 Auditoría 3 Real Esperada Efectividad Tiempo: Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe

18 Efectividad de los controles Conceptos de Auditoría Continua Auditoría Tradicional vs. Auditoría Continua Con Auditoría continua, las violaciones del control se detectan de inmediato mediante la provisión de auditorías permanentes. El personal mantiene su participación en el proceso de control. Los riesgos emergentes se agregan a los análisis existentes en el momento en el que se los detecta AC AC AC AC AC AC AC AC AC AC AC AC Tiempo: Real Esperada Efectividad Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe

19 Conceptos de Auditoría Continua Naturaleza Tiempo Extensión Chan & Vasarhelyi, 2011 Auditoría Tradicional Control es manual y las pruebas sustantivas detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la Administración Las pruebas de control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de la Auditoría Se usa el muestreo, debido a lo intensivo en tiempo y mano de obra que requieren las pruebas Auditoría Continua El monitoreo del control es continuo y automatizado y se requiere un aseguramiento continuo de los datos El monitoreo de los controles internos y las pruebas de los datos de las transacciones ocurren simultáneamente Considera a toda la población de transacciones en el monitoreo y las pruebas

20 Conceptos de Auditoría Continua El enfoque tradicional Históricamente la auditoría interna realizaba pruebas de los controles en forma retrospectiva y cíclica, con frecuencia muchos meses después del momento en el que ocurrían las actividades de negocios.

21 Conceptos de Auditoría Continua AC: El cambio de Paradigma Auditoría Continua cambiará el paradigma de auditoría, por ejemplo: la naturaleza de la evidencia, los ritmos, los procedimientos y el grado de esfuerzo requerido por los auditores internos

22 Conceptos de Auditoría Continua AC: El cambio de Paradigma La Auditoría Continua es un método empleado para realizar evaluaciones de riesgos y de controles de manera automática y más frecuente. El poder de la auditoría continua reside en las pruebas continuas, eficientes e inteligentes de controles y riesgos que permiten una notificación oportuna de las brechas y debilidades a fin de dar un seguimiento y la corrección inmediata. Con este cambio de enfoque, los auditores logran entonces comprender mejor el entorno de negocio y los riesgos asociados, lo que le permitirá velar por el cumplimiento e impulsar el desempeño del negocio.

23 Conceptos de Auditoría Continua En la actualidad, la proliferación de sistemas de información en el entorno de negocio ofrece a los auditores un acceso más sencillo a una cantidad mayor de información relevante, pero también implica la gestión y la revisión de volúmenes de datos y transacciones mucho más grandes. Auditoría Continua a nivel macro engloba dos actividades principales: 1. Evaluación continua de control, destinada a centrarse lo más pronto posible en las deficiencias de control. 2. Evaluación continua de riesgos, destinada a destacar los procesos o sistemas que presentan niveles de riesgo más altos de lo esperado.

24 Conceptos de Auditoría Continua Los beneficios esperados a partir de la implementación de un esquema de auditoría continua incluyen: Mayor capacidad para mitigar riesgos. Reducciones en el costo que implica la evaluación de controles internos. Mayor confianza en los resultados financieros. Mejoras en las operaciones financieras. Reducciones en los errores financieros y la posibilidad de fraude.

25 Conceptos de Auditoría Continua La AC está ganando terreno en las organizaciones que pretenden un control continuo y una monitorización continua. El grado de difusión, la creciente disponibilidad de herramientas y la aspiración a una mayor eficiencia en el control son factores importantes para un análisis más exhaustivo sobre lo que puede aportar la AC.

27 Impulsores de la AC Cada estrategia de CA/CM en las organizaciones está influenciada por una variedad de impulsores estratégicos, operacionales y externos Ocurrencia o riesgo de fraude Conversión / cambio de ERP Deseo de la gerencia de demostrar sanas prácticas gobierno Impulsores Operacionales Potencializar de mejor manera las estrategias de manejo de información Impulsores Estratégicos Deseo de la Gerencia de mejorar el rendimiento y la rendición de cuentas CA/CM Estrategias Globalización Impulsores Externos Mayor escrutinio por los agentes externos Ambiente regulatorio y de riesgo legal en expansión Deseo de reducir los costos de SOX Crecimiento y desarrollo organizacional Procesos de negocio ineficientes Ambiente económico incierto que aumenta el riesgo del negocio Aumento en la demanda de información más confiable Fuente KPMG

28 Impulsores de la AC Factores críticos de éxito Soporte de la Alta Gerencia Recursos experimentados y herramientas tecnológicas Enfoque establecido para CA Enfoque bien planificado Alineación Organizacional Fuente KPMG

30 Implementación de Auditoría Continua Planificar Diagnosticar Diseñar Implementar Ejecutar Evaluar Planificar el alcance y definir el proceso administración de riesgo interno Llevar a cabo la auditoria o monitoreo Revisar el proceso de acuerdo a los resultados producidos Método de Implementación Enfoque está diseñado para proveer un proceso eficiente, consistente y repetible Fuente KPMG

31 Implementación de Auditoría Continua - La guía 3 del IIA sobre Auditoría Continua establece 5 pasos claves para la implementación del modelo: OBJETIVOS DE LA AUDITORÍA CONTINUA USO Y ACCESO A DATOS EVALUACIÓN CONTINUA DE RIESGOS EVALUACIÓN CONTINUA DEL CONTROL INFORMAR Y GESTIONAR RESULTADOS Fuente: GTAG, TheIIA.org

32 Implementación de Auditoría Continua Estrategia: Identificar Riesgos y Controles - Seleccionar los procesos críticos a evaluar - Identificar el riesgo y categorizarlo - Revisar los controles existentes - Clasificar los riesgos y los controles que serán parte de AC

33 Estrategia de Implementación: Identificar Riesgos y Controles

34 Estrategia de Implementación: Identificar Riesgos y Controles En resumen debe haber una Cultura de Riesgo

35 Auditoría Toda la Organización

37 Recursos Claves para la AC Ciclo de Madurez COBIT propone un modelo de madurez de 6 niveles para medir la efectividad del ambiente de control:

38 Recursos Claves para la AC Ciclo de Madurez - Nivel 0: "Inexistente" Una función de auditoría no existe o no se realiza. - Nivel 1: "Manual de Auditoría Informal" Individuo(s) realiza(n) tareas de auditoría sobre una base ad hoc, pero sin una política formal. - Nivel 2: "Manual de Auditoría Formal" Una función de auditoría se establece con una cartera y un conjunto de procedimientos operativos estándar que rigen sus tareas y funciones. - Nivel 3: "Auditorías Desarrolladas con Tecnologías Ad hoc" La función de auditoría formal utiliza la tecnología para completar sus auditorías, pero de una manera ad hoc. Si se utilizan herramientas específicas, no se utilizan consistentemente ni el personal de auditoría se encuentra bien versado en el uso de ellas.

39 Recursos Claves para la AC Ciclo de Madurez - Nivel 4: "Auditorías Desarrolladas con Tecnología" - La función de auditoría formal utiliza la tecnología siempre que sea posible y trabaja para automatizar los procedimientos manuales restantes. El personal se encuentra cómodo y es hábil en el uso de herramientas de auditoría, tales como software generalizados de auditoría. Existen políticas y procedimientos claros que rigen la planificación, diseño y ejecución de auditorías desarrolladas con tecnología. - Nivel 5: "Auditoría Continua" La evidencia de auditoría es recopilada en tiempo real o casi en tiempo real, y el auditor puede evaluar la fiabilidad de la información reportada sin esfuerzos manuales significativos. - Nivel 6: "Monitoreo y Auditoría Continua Optimizados" El Monitoreo Continuo es llevado a cabo por los propietarios de los procesos de negocio y la Auditoría Continua se desarrolla para verificar continuamente la eficacia operativa de los procedimientos de Monitoreo Continuo.

40 Recursos Claves para la AC Ciclo de Madurez En este sentido, algunas publicaciones señalan que aún queda mucho trabajo por hacer para elevar la madurez de la auditoría. Algunas de las acciones que se pueden tomar en este sentido son: - Formalizar los procedimientos de auditoría. - Involucrar a la función de auditoría en el ciclo de vida de desarrollo de sistemas y el proceso de gestión del cambio. - Alentar a los auditores a explorar maneras de automatizar los procedimientos clave de auditoría. - Asegúrese de que los auditores sean capaces de utilizar la tecnología y herramientas de auditoría, como el software generalizado de auditoría. - Aumentar la claridad del proceso de auditoría a los propietarios de los procesos de negocio y la alta dirección.

41 AUDIT COLLABORATION SECURITY AUTOMATION LARGER DATA SIZE BUSINESS STAKEHOLDERS ORGANIZATION AUDIT DEPT IMPORT, EXPORTS, EXTRACTIONS ANALYSIS, ADVANCED STATISTICS AUDIT TRAIL, PROJECT OVERVIEW SMART ANALYZER CONTINUOUS MONITORING EXCEPTION RESOLUTION ISSUE MANAGEMENT WORKFLOW INDIVIDUAL IT TEAM ETL SOFTWARE ERP SYSTEMS, DATABASES

42 Recursos Claves para la AC: Cómo funciona? Conectores de datos especializados Smart Exporter Monitor Analítico (Analytics) Soporte a herramientas de análisis Y otros lenguajes de script Notificación Flujo de Trabajo Monitoreo Reportería Herramienta de AC

43 Recursos Claves para la AC: Inteligencia en el manejo de las Excepciones 43

44 Recursos Claves para la AC: Inteligencia en el manejo de las Excepciones Escalamiento de la Excepción

45 Recursos Claves para la AC: Inteligencia en el manejo de las Excepciones Asociar las excepciones con su categoría de Riesgo 45

46 Recursos Claves para la AC: Casos de éxito

49 Recursos Claves para la AC: Inteligencia en el manejo de las Excepciones

51 Proceso de Negocio: Ingresos

52 Proceso de Negocio: Ingresos Las Empresas deben establecer rutinas para verificar las transacciones de ingresos. Estos procedimientos proporcionan una salvaguarda continua en contra de errores, fraudes y negligencias.

53 Proceso de Negocio: Ingresos Una serie de actividades contribuyen con la fuga de ingresos. Estas pueden incluir cuentas de clientes y contratos incorrectos, facturaciones incorrectas, cobros ineficaces, robo, etc. Los estudios revelan que las fugas representan del 1% al 5% de los ingresos por servicios en países desarrollados y hasta un 20% en países en vías de desarrollo para diversos sectores de la Industria.

54 Proceso de Negocio: Ingresos Funciones Típicas de un ciclo de Ingresos y podrían ser las siguientes Otorgamiento de crédito Toma de pedidos Entrega o embarque de mercancía y/o prestación del servicio Facturación Contabilización de comisiones Contabilización de garantías Cuentas por cobrar Ingreso del efectivo Ajuste a Facturas y/o notas de crédito Determinación del costo de ventas Facturación Cuentas por Cobrar

55 Proceso de Negocio: Ingresos Ventas / Cuentas por Cobrar (algunos ejemplos) a. Importación de registros de facturación/ventas. Verificación de Totales de control. b. Indexar campos en orden Ascendente y Descendente. c. Estadísticas de campo, extracción de montos de venta negativos. d. Extracción de reversiones de ingresos desde la base de datos principal para determinar si estos ítems encubren ventas falsas. e. Sumarizaciones por Campos Clave disponibles en los datos de Cuentas por Cobrar para identificar patrones inusuales de actividad. i. Cuentas por cobrar en mora ii. Notas de crédito por número de cliente y por quien autorizó la nota iii. Reversiones de ventas e invalidaciones por cuenta y quien autorizó iv. Pase a cuentas incobrables por cuenta

56 Proceso de Negocio: Ingresos Ventas / Cuentas por Cobrar (algunos ejemplos) e. Estratificación por fecha para visualizar ventas registradas en las últimas dos semanas del fin de un período y conciliar contra la documentación soporte para probar la legitimidad de la ventas. f. Unión de base de datos de ventas con la de despachos o envíos para rastrear cada despacho por factura. g. Extracción de todas las cuentas por cobrar en las cuales la cuenta del cliente excede su límite de crédito en el período bajo revisión. h. Efectúe un análisis de omisiones en facturas de ventas y registros de despacho. Evaluación de las omisiones para determinar si esos documentos de venta realmente faltan. i. Comparar fechas en los registros de venta con las fechas del correspondiente documento de despacho de mercancía usando la

57 Proceso de Negocio: Ingresos, Tec. de Conciliación

58 Proceso de Negocio: Ingresos, Errores en Facturación

59 Proceso de Negocio: Ingresos, Estadísticas de Campo

60 Proceso de Negocio: Ingresos, Estadísticas de Campo

61 Proceso de Negocio: Ingresos, Detección de Duplicados

62 Proceso de Negocio: Ingresos, Detección de Omisiones

63 Proceso de Negocio: Ingresos, Antigüedad de Saldos

65 Conclusiones La Auditoría Continua es un método empleado para realizar evaluaciones de riesgos y de controles de manera automática y más frecuente AC debe ir más allá de las fronteras de AI Debe lograr la integración de personas, procesos y la tecnología Mayor eficiencia de la auditoría al cubrir al 100% de las transacciones electrónicas y permitir la detección temprana del fraude AC muchas veces genera auditorías especiales, concentrando las esfuerzos de auditorías en áreas de alta riesgo

66 Muchas Gracias Pedwar Castillo, NextPoint - Caseware Analytics pcastillo@nextpoint.com.do ,